Главная » Песочница 2 » Можно ли использовать VPN?
Можно ли использовать VPN

Можно ли использовать VPN?

Мы уже писали про выбор и анонимность VPN. Сегодня продолжим эту тему, рассмотрим самые популярные VPN-сервисы и попробуем ответить на вопрос «Можно ли использовать VPN?«.

Сначала определимся с критериями, на которые будем смотреть. У меня следующие требования:

  • SSL-сертификация доменов. Если с ней проблемы, то есть возможны атаки типа «Человек по середине (MITM)».
  • Отсутствие подстав в политике конфиденциальности и лицензионном соглашении. VPN-сервис, для которого приватность пользователей не пустой звук, не должен подписывать пользователя на что угодно.
  • Поддержка надежного шифрования и современных протоколов. В некоторых странах с помощью DPI-аппаратуры успешно блокируются стандартные типы подключения, такие как PPTP, L2TP IKEv1, OpenVPN UDP и прочие. Уважающий себя VPN-сервис должен предоставлять пути обхода. Что касается шифрования, здесь все индивидуально. Отмечу лишь, что протокол PPTP, используемый вкупе с MS-CHAP, был взломан в 2012 году. С тех пор любой человек, заплатив 17 долларов, имеет возможность дешифровать трафик.

CyberGhost VPN

CyberGhostVPN — немецко-румынский сервис. На рынке с 2007 года. Далеко не все могут оставаться на плаву так долго. Этот сервис предлагает 3 типа подключения: L2TP, OpenVPN, IPSec.

CyberGhost VPN
CyberGhost VPN

Способы обхода блокировок отсутствуют. Есть лишь возможность подключения по протоколу TCP на 443-м порте при использовании OpenVPN, что уже неэффективно в странах с DPI. SSL-сертификат ресурсу выдан компанией Comodo и действителен до 23.02.2019.

Два года назад CyberGhost оказался в центре большого скандала. Одно из обновлений его клиента устанавливало на машины пользователя корневой SSL-сертификат.

Что в этом плохого?

Дело в том, что, когда вы устанавливаете соединение по HTTPS, ваши данные защищаются протоколом SSL / TLS, который подтверждается специальным сертификатом, выданным уполномоченной компанией. Браузер сверяется со списком сертификатов операционной системе и в случае, когда все сходится, разрешает посетить сайт. Обновление CyberGhost добавляло свой сертификат в этот список, что открыло возможность атаки типа MITM.

Компания быстренько выпустило опровержение, но позже вскрылась другая проблема: оказалось, что клиент CyberGhost VPN для Windows сохраняет логи, такие как название видеочипа, модель процессора и имя пользователя. Этот случай подпортил репутацию CyberGhost VPN.

Что касается «политики конфиденциальности», тут все очень непросто. В статье из своей базы знаний руководство сервисом CyberGhost отчетливо заявляет о том, что логи не ведутся. Но тщательнбый анализ «политики конфиденциальности» вызвал у меня некоторые вопросы.

 

В «анонимизацию» IP верится с трудом, да и остальное не вызывает доверия. Любой сбор данных противоречит ответу в базе знаний, где заявлено, что лог не ведутся.

NordVPN

NordVPN — стремительно набирающий популярность сервис, зарегистрированный в Литве. Ведет деятельность с 2013 года. В графе «Наши партнеры» раньше было указано, что контора получила CCNP-сертификат от CISCO, но потом эта информация пропала с сайта.

Сертификат CISCO с веб-архива
Сертификат CISCO с веб-архива

Почему информация о сертификате пропала с сайта? Как удалось получить этот сертификат, не имея никаких заслуг? Ответов нет, и убрали явно не просто так.

В «Политике конфиденциальности» тоже нашлись проблемы. Один пункт гласит, что логи не ведутся вообще, другой говорит нам, что сервис имеет право хранить ограниченное количество (сколько?) личной информации в течение двух лет.

Политика конфиденциальности NordVPN
Политика конфиденциальности NordVPN
Политика конфиденциальности NordVPN
Политика конфиденциальности NordVPN

На сайте утверждается, что пул серверов состоит из 5178 единиц, которые расположены в 62 странах. Используемые методы подключения: OpenVPN, L2TP, IPSec. Приятный бонус — возможность обхода DPI через stunnel.

С NordVPN все было бы хорошо, если бы не история с сертификатом CISCO и не лицензионное соглашение, которое разрешает владельцам сервиса собирать информацию, но не конкретизирует, какую именно.

Но есть и еще один интересный момент. Двое пользователей Reddit предприняли независимое исследование, судя по которому NordVPN принадлежит известной датамайнинговой компании TesoNet.

Похоже, именно это позволяет сервису тратить по полмиллиона долларов в месяц (только вдумайся в эту цифру!) на покупку отзывов и рекламы своего продукта. Так, по данным сайта adweek.com, NordVPN потратил на рекламу 497 тысяч долларов за один лишь февраль 2018 года. Откуда такие деньги? Думаю, ответ очевиден.

Выходит, пользоваться этим сервисом крайне опасно: вместо анонимности есть шанс предоставить подробные логи для датамайнинга. И напоследок еще одна неприятная история. В рекламном порыве сотрудники NordVPN накрутили рейтинг подложным отзывам на сайте trustpilot.com. Этот факт подтвержден администрацией ресурса.

Private Internet Access

Private Internet Access — широко известный среди зарубежных пентестеров VPN-сервис. Среди аналогов выделяется детальными настройками шифрования (можно менять порт подключения, тип шифровки и ключа), наличием встроенных способов обхода DPI, а также своего SOCKS5-прокси и SSH-туннеля. Одним словом, хоть сейчас медаль давай, но увы…

Во-первых, web.archive.org ничего не знает о времени существования этого сервиса и о старых версиях сайта. Похоже, администрация попросила их удалить, а это тревожный знак.

Результаты поиска в веб-архиве
Результаты поиска в веб-архиве

Мне удалось обнаружить, что этот провайдер находится на территории США, а также принадлежит некоему псевдоконгломерату, область деятельности которого раскидывается от VPN до бутиков.

Да, у Private Internet Access есть возможность шифрования 4096-битным ключом. Да, он спокойно кладет на лопатки DPI, но какой в этом смысл, если по первому зову Дяди Сэма все данные окажутся в руках властей?

Информация о сервисе vpn
Информация о сервисе

Попробуем поискать информацию о фирме-хозяине — London Trust Media. Поиски быстро привели меня к статье, сообщающей, что исполнительным директором этой компании был назначен Марк Карпелес (Mark Karpeles), при полном попустительстве которого была ограблена японская криптобиржа Mt.Gox. Доверия к этому товарищу у меня нет и быть не может.

HideME VPN

HideME — самый известный в рунете VPN-сервис. Ведет деятельность с 2007 года. Авторизоваться можно, только если есть цифровой код, который Google легко находит на тематических форумах.

Один из типов подключения к HideME VPN — это PPTP, что само по себе нехорошо — протокол уязвим. Кроме того, в 2016 году по запросу властей РФ HideME отключил анонимайзер для российских пользователей. На этом можно было бы и остановиться, но я предлагаю еще заглянуть в политику конфиденциальности.

Политика конфиденциальности HideME VPN
Политика конфиденциальности HideME VPN

Да, может быть, они и отказались от регистрации, но ключи, абсолютно ничем не хешированные, при должной сноровке можно подобрать за три дня. Кроме того, обрати внимание на первый абзац, а также на то, как был отработан запрос РКН. Использования этого сервиса для чего-то, кроме доступа к Spotify, стоит избегать любой ценой.

Hide My Ass! VPN

Hide My Ass — один из самых известных провайдеров в мире. Принадлежит он компании Avast. Многих это отпугнет сразу же, но мы продолжим изучение. Сервис существует в качестве анонимайзера с 2005 года, функция VPN у него появилась в 2009-м. Грандиозное отличие Hide My Ass от всех рассмотренных провайдеров — колоссальное количество выходных стран. Однако, к большому сожалению, радоваться тут нечему.

В 2011 году этот провайдер выдал властям США одного из участников группировки LulzSec — Коди Эндрю Кретзингера. Мало того, администраторы еще написали длинный пост в свое оправдание. Выдача логов якобы была обоснованной. Но на месте этого человека мог быть любой журналист или же правозащитник в тоталитарной стране.

Пост оправдания Hide My Ass
Пост оправдания Hide My Ass

Вывод напрашивается сам собой: Hide My Ass в любой момент выдаст то самое, что обещал надежно спрятать, а потому не годится для серьезных применений.

PureVPN

PureVPN — еще один популярный провайдер, созданный в 2008–2009 годах. Набор протоколов стандартный: OpenVPN, L2TP, IPSec. Прославился PureVPN тем, что выдал властям назойливого киберсталкера Эндрю Лина. С точки зрения морали можно относиться к этой истории как угодно, но факт налицо: логи хранятся.

VyprVPN

VyprVPN начал активную деятельность в 2010 году. Зарегистрирован в Швейцарии. Имеет стандартный набор протоколов: OpenVPN (AES-256), IPSec, L2TP. Радует наличие обхода через stunnel, который маркетологи гордо именуют Chameleon — оставим это на их совести.

Нас же интересует лицензионное соглашение, которого вполне достаточно для выводов.

Политика конфиденциальности VyprVPN
Политика конфиденциальности VyprVPN

В течение тридцати дней хранится входной (настоящий) IP-адрес, и этим все сказано.

Вывод

Получается, что ни один из изученных нами популярных VPN-сервисов не прошел даже элементарную проверку без применения технического аудита. Лично для меня это значит, что веры таким провайдерам нет и быть не может. Поэтому всем, кто беспокоится об анонимности и приватности, советую все-таки изучить документацию и поднять свой сервер OpenVPN. А для обхода DPI можешь самостоятельно добавить stunnel — у нас есть подробная статья о том, как это сделать.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *